XSS漏洞分析

2021-08-08 11:02:03 字數 651 閱讀 6887

網頁(客戶端)傳送請求時隱藏可自動執行的指令碼,從而使指令碼跨站執行(cross site scripeting),達到攻擊目的。由於縮寫和css衝突,故使用xss。

伺服器介面:

http://ip:port/test?name=aaa&hobby=bbb
伺服器大致處理過程:

string param1 = request.getparameter("name");

string param2 = request.getparameter("hobby");

// do sometihing

response.setcontenttype("text/html; charset=gbk");

if (ok)

else

若name欄位傳遞為 ,則頁面返回時會彈出alert對話方塊,若指令碼裡面包含頁面跳轉和傳送本地cookie等操作,可能會造成更多危害。

此方法不通用,只針對僅資料互動的型別有效,若要伺服器返回網頁則失效。這種情況下可以將text/html修改為text/plain。

chrome和firefox瀏覽器,本身對xss有過濾,當瀏覽器發現請求引數和伺服器應答有相同的指令碼時會拒絕執行。但是這通常是可以被繞過的,如對請求引數進編碼。

XSS漏洞筆記

0x01xss跨站指令碼攻擊簡介 xss漏洞是攻擊者在web頁面插入惡意的script 當使用者瀏覽該頁面時,嵌入其中web裡面的script 會被執行,從而達到惡意攻擊使用者的特殊目的。反射型xss只是簡單的把使用者輸入的資料 反射 給瀏覽器.也就是說需要誘使使用者 點選 乙個惡意鏈結,才能攻擊成...

XSS漏洞演示

1 儲存型xss 簡介 注入的惡意指令碼永久儲存在 web 應用程式的資料庫伺服器中,因此這種攻擊不需要對使用者執行任何網路釣魚技術。過程 1 構造惡意指令碼,寫入資料庫 2 客戶訪問 返回惡意資料 遇到問題 不能解析admin資料夾裡面的html檔案,沒有找到解決辦法,於是將html字尾改成了ph...

xss漏洞之 漏洞利用

原理 網頁被植入網頁被植入xss指令碼,普通使用者訪問此網頁時,會自動將使用者本地的cookie快取傳送到指定遠端伺服器 利用 1 首先登陸乙個頁面,抓包獲取cookie 2 複製此頁面裡任一選項的url,重啟瀏覽器後直接訪問此url,抓包修改cookie為上面獲取的登陸成功後的cookie 3 頁...